Nacional | Araçatuba | Bauru | Campinas | Franca | Jundiaí | Piracicaba | Rio Preto | São José dos Campos
06 de maio de 2024
José Milagre
Nova norma ISO 27701: privacidade da informação
15/12/2019 | Tempo de leitura: 3 min
A norma ISO 27701 especifica os requisitos e fornece diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão de privacidade da informação (SGPI). Assim como as demais normas da família 27000, em especial 27001 e 27002, a ISO 27701 apresenta requisitos relacionados ao Sistema de Gestão da Privacidade da Informação (SGPI) e também diretrizes para os controladores e operadores de dados pessoais, atores com grandes responsabilidades nas atividades de tratamento. É aplicável a todos os tipos de organizações, tanto públicas quanto privadas, e também se relaciona com outras normas técnicas que lhe dão suporte para a implementação da conformidade.
Lançamento da norma
Participei do lançamento da norma na ABNT no dia 09/12/2019. A norma nasce como uma extensão de requisitos da ISO 27001 e de diretrizes da 27002, todos focados em privacidade da informação e não em um sistema de gestão próprio. A norma complementa as demais normas de segurança da informação com seus requisitos específicos. As empresas que querem atender as regras da Lei Geral de Proteção de Dados poderão utilizar a norma para aplicação dos controles previstos em Lei.
Como compreender a 27701 em 5 passos
Basicamente, a 27701 traz na sua seção 5 as mesmas regras da 27001, porém acrescentando e atualizando para controles, envolvendo privacidade da informação. O mesmo na seção 6, onde a norma traz diretrizes específicas de um sistema de gestão de privacidade da informação, em parte ratificando os da 27002, ora promovendo acréscimos e atualizações. Aqui, aliás, temos muitos acréscimos em comparação com a seção 5. Já nas seções 7 e 8, temos diretrizes adicionais para controladores de dados pessoais e operadores de dados pessoais.
Relação ISO 27701 com LGPD?
A relação da ISO 27701 com a LGPD é total. A norma traz anexos, sendo o A destinado a controladores e B a operadores (atualizando os controles e objetivos de controle da ISO 27001), o C traz um mapeamento da norma com os princípios de privacidade, o D e "N/A" fazem o mapeamento entre as exigências da GDPR e LGPD e os controles trazidos pela norma, que ajudam na conformidade, e o E uma relação da norma com outras ISOs não menos importantes, 27018 (Cloud) e 29151 (diretrizes e controles adicionais). Não se pode tirar de vista o anexo F, que justamente nos ensina como aplicar a ISO/IEC 27701 com as normas "base", 27001 e 27002.
Como implementar a ISO 27701?
Deste modo, a ISO 27701 tem como objetivo contribuir para que empresas demonstrem a agências, órgãos públicos, investidores e sociedade que a organização está empenhada em adotar controles eficazes e que são considerados melhores práticas internacionais em proteção de dados. Após compreender a norma, é momento de iniciar o plano de implementação, que envolve avaliação, priorização de pontos críticos, implementações e auditoria periódica. Não há tempo a perder e quanto mais ágil for a resposta corporativa a esta importante fase que inaugura a ISO 27701, melhor para o avanço rumo à conformidade com um padrão internacional envolvendo a privacidade da informação.
Preparei um e-book para os leitores em http://ebookiso27701.pagina.rocks/
Acesse e envie seu comentário para a coluna! Até a próxima!
Receba as notícias mais relevantes de Bauru e região direto no seu WhatsApp
COMENTÁRIOS
A responsabilidade pelos comentários é exclusiva dos respectivos autores. Por isso, os leitores e usuários desse canal encontram-se sujeitos às condições de uso do portal de internet do Portal SAMPI e se comprometem a respeitar o código de Conduta On-line do SAMPI.